BITTER(蔓灵花)，经过研究人员的连续炮轰分析之后，目前大概率可以认为其是为来自神奇国度的APT组织，与白象，孔子联系紧密。

而平底锅这波披露了该组织的新目标，沙特阿拉伯，并重命名了一个下载器。并且，好多巴铁站都被日完当成C2

下面是其具体分析。

从2018年9月中旬到2019年1月，分析人员观察了用于针对巴基斯坦和沙特阿拉伯进行攻击组织的下载器变种:ArtraDownloader。

目前已经确定了几个恶意文件，所有这些文件都与被入侵的巴基斯坦网站进行通信，这些网站包括与巴基斯坦政府和其他巴基斯坦组织有关的网站。

从2018年9月12日开始，在https://wforc[.]pk/js/上观察了以下名称的文件。

• Internet Data Traffic Report – August 2018.docx

  (互联网数据流量报告 - 2018年8月.docx)

• PAF Webmail Security Report.doc.exe

  (PAF Webmail安全报告.doc.exe)

攻击目标为针对沙特阿拉伯电气供应商的雇员。

恶意文件与nethosttalk[.]com通信。

在同一时间范围内，观察到另外两个文件（如下所列）被托管在另一个巴基斯坦网站上。这些可执行文件具有以下名称，托管在URL: khurram.com[.]pk/js/drvn 上，并与域名nethosttalk[.]com进行通信。

可执行文件名称

• Handling of Logistics.pdf[.]com （物流的处理）

• Cyber security work shop.pdf[.]com （网络安全工作shop）

从2018年11月6日开始，http://rmmun.org[.]pk/svch  托管了两个与域info.viewworld71[.]om或hewle.kielsoservice[.]net

进行通信的ArtraDownloader文件。

RMMUN，Roots Metropolitan Model United Nations是一个有组织的活动，于2018年11月8日至11日举行，旨在促进人权和经济发展等问题的合作和见解。网站被入侵后从而借此钓鱼

2018年11月至2019年1月，巴基斯坦的一家工程和液压公司

almasoodgroup[.]com

观察到托管了两个AtraDownloader可执行文件以及用于提供有效载荷的恶意文件。

其中一个文件Port Details.doc是一个利用CVE-2017-11882的RTF文档。

此文件下载了一个payload，该payload也与hewle.kielsoservice[.]net进行通信。

工程公司域上托管的其他两个文件与命令和控制域 xiovo426[.]net 进行通信。

1月2日，文件article_amy.doc也上传到VirusTotal。

该文件托管在almasoodgroup[.]com/js/cwqj上，并与C2域thepandaservices.nsiagenthoster[.]net进行了通信。

almasoodgroup[.]com应该是被入侵的站点。

在2018年12月17日和18日，用户在12月的最后一周，从

http://fst.gov.pk/images/winsvc下载了一个文件。

此payload是ArtraDownloader变体1的一个实例，利用CVE-2017-11882。

使用hewle.kielsoservice.net / Engset.php 作为C2。

ArtraDownloader的样本最早具有2015年2月的编译时间戳，因此该代码可能存在时间较长，下列为下载器变种以及编译时间分布图，可见版本交错存在。

总体而言，ArtraDownloader恶意软件系列并不复杂，利用简单的注册表项来实现持久性，并利用HTTP请求下载和执行远程文件。通过在字符串中的每个字节中添加或减去来对这些样本中的重要字符串进行模糊处理。当通过HTTP发送数据时，使用相同的混淆例程。

有趣的是，在此分析过程中，发现在先前分析的payload中看到的基础设施。

2017年11月，分析人员报告了从域 zmwardrobe[.]com下载并随后执行称为MY24的有效负载的恶意文档。

2017年9月和10月都观察到了此活动。

2017年11月，首次观察到ArtraDownloader查询相同的域名; 这持续到2018年2月。两个有效载荷都在InPage漏洞中观察到。

迄今为止，BITTER使用名为ArtraDownloader的定制下载恶意软件系列来攻击巴基斯坦，中国和沙特阿拉伯。此下载程序利用独特的自定义混淆方法，通过HTTP下载并执行BitterRAT恶意软件系列。

多个组织受到影响或被发现托管BITTER使用的恶意软件，包括巴基斯坦政府，工程公司和电气供应商。

原文链接：

https://unit42.paloaltonetworks.com/multiple-artradownloader-variants-used-by-bitter-to-target-pakistan/

原文还有下载器三个变种的简单分析，有兴趣的可以看看。

攻击沙特的原因大概便是和巴基斯坦比较友好？？

变种一

变种二

c:\Users\Asterix\Documents\Visual Studio 2008\Projects\28NovDwn\Release\28NovDwn.pdb

get请求

变种三

d:\C++\new_downloader_aroundtheworld123\Release\audiodq.pdb